Vous avez une confiance aveugle dans les sites « sécurisés » dont l’adresse est précédée d’une petite icône en forme de cadenas ? Depuis la révélation de la faille « Heartbleed », cette confiance doit être révisée… Comment savoir si vos sites préférés sont concernés ?
Hier, l’inquiétante découverte d’Adam Langley, un informaticien Google, a été dévoilée : il s’agit d’une faille de sécurité, baptisée Heartbleed (littéralement « coeur qui saigne »), qui remet en cause la fiabilité du logiciel OpenSSL, installé sur de nombreux serveurs web pour garantir la sécurité des informations échangées, notamment par les internautes « grand public » (données personnelles et bancaires).
Heartbleed : c’est quoi cette faille ?
SSL est un protocole d’authentification et de chiffrement de données numériques : il est très répandu sur Internet, notamment pour protéger les informations transmises par les internautes lorsqu’ils créent / consultent des comptes personnels (messagerie, e-commerce, etc.), ou effectuent des transactions en ligne.
Sauf exception, les sites qui proposent une telle sécurité ont une adresse web (URL) automatiquement précédée d’une petite icône représentant un cadenas. Pour offrir ce service incontournable aujourd’hui, de nombreux sites utilisent le logiciel OpenSSL, installé sur leurs serveurs. C’est justement ce logiciel qui comporte une faille inquiétante…
Concrètement, cette faille logicielle permet à des pirates d’accéder à la mémoire des serveurs, et de récupérer de nombreuses informations, comme par exemple des mots de passe, mais aussi les clés de chiffrement elles-mêmes ! C’est à dire les clés numériques qui permettent de déchiffrer (décrypter) des échanges numériques passés et futurs. L’accès aux clés de chiffrement est cependant non-confirmé par Adam Langley.
De la chance dans notre malheur
Cette faille impacte depuis deux ans le système de sécurité le plus répandu sur Internet. Heureusement, toutes les versions du logiciel OpenSSL ne sont pas concernées. Si Heartbleed touche de nombreux sites, les géants de l’Internet comme Apple, Google, Microsoft, Facebook et la plupart des sites de e-commerce semblent immunisés. En revanche, Yahoo (et ses autres services comme par exemple Tumblr) est concerné… Mais a annoncé hier avoir corrigé le problème.
La vigilance reste de mise
Tous les « grands » sites concernés par la faille Heartbleed devraient mettre quelques jours – maximum – à corriger la vulnérabilité sur leurs serveurs. Soyez donc prudents cette semaine.
Pour savoir si l’un de vos sites préférés est concerné par Heartbleed, copiez-coller son adresse sur filippo.io/Heartbleed/ et observez le résultat. Le voici par exemple pour notre camarade achiwa.com :
Si l’un de vos sites Internet habituels a été concerné par cette faille, mieux vaut procéder au renouvellement de votre mot de passe, par souci de sécurité.
Sources: lemonde.fr / heartbleed.com
Image: heartbleed.com
Ce qu’il faudrait savoir c’est l’impact sur les sites de paiement par CB sécurises … Ainsi que la page de la banque qui effectue le paiement !